标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

Q／GDW 1596-2015 国家电网公司信息安全风险评估实施细则.pdf

公司管理信息系统面临的威胁分为软硬件故障、 物理环境影响、无作为或操作失误、管理不到位 恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类，具体分类见GB/T20984一20 5.3.1条。

在威胁调查基础上，应按照GB/T31509一2015的5.2.3.4条要求进行威胁分析，分析威胁发生的概 率、威胁影响，给威胁赋值。威胁赋值按照GB/T20984一2007中5.3.2条要求，采用五级划分法，自高 而低分为“很大”、“大”、“中”、“小”、“很小”五级，分别用数字5、4、3、2、1表示。

按照GB/T20984一2007和GB/T31509一2015，脆弱性应从技术和管理两方面识别。附录A给出 公司管理信息系统信息安全脆弱性评估的具体评估项目和要求DB3201T 063-2004 丝瓜原种生产技术规程，用于替代GB/T31509一2015的附录 和附录C。

脆弱性识别应遵循以下原则：

Q/GDW15962015

脆弱性赋值按照GB/T20984一2007中5.4.2条要求，采用五级划分法，自高而低分为很高”、“高 “中”、“低”、“很低”五级，分别用数字5、4、3、2、1表示。

8.4.1单项脆弱性评估与赋值

公司信息系统资产脆弱性评估采用基于脆弱性评估表的综合评估方法，具体方法为： ）对照附录A给出的每一个脆弱性评估项，评估信息系统是否满足相关要求，按照评分细则进 打分； b）按照公式（1）分别计算出各评估项的得分率：

Ritem该评估项的得分率； Qla一一被评估系统在该评估项的实际得分； QIs一一该评估项全部符合要求的最高分值（即附录A各脆弱性评估表中的“分值”列数值）。 c）按照表1给出该评估项的脆弱性赋值

表1单项脆弱性评估项赋值标准

d 按照GB/T31509一2015给出的风险计算方法，根据识别出的资产、威胁和各单项脆弱性赋值 计算和分析各评估项的安全风险； 对评估项中包含多个评估要点的，可分别按评估要点进行评估与赋值，也可按评估项进行评估 与赋值。按评估项进行评估时，需要把各个评估要点的得分进行汇总后再计算

2层面脆弱性评估与赋价

在单项脆弱性评估基础上，对信息系统在管理（包括安全管理制度、安全管理机构、人员安全管理、 信息系统安全管理、安全工作机制）和技术（包括总体防护体系、物理安全、边界安全、网络 安全、应用安全、数据安全、主机安全、终端安全）两方面共13个层面的脆弱性进行评估与 赋值，具体方法如下：

a）如果该层面有基本项且有任一基本项未得分，则该层面脆弱性赋值为“很高”，否则按以下b）～ e）进行评估与赋值； 6 按照8.4.1a）条，给出各评估项实际得分后，分别统计其在安全管理制度、安全管理机构、人 员安全管理、信息系统安全管理、安全工作机制、总体防护体系、物理安全、边界安全、网络 安全、应用安全、数据安全、主机安全、终端安全各个层面的总得分； 按照公式（2）分别计算出各层面的得分率：

式中： Rlayer 各层面得分率； QLa一 被评估系统在该层面的实际得分； OLS 该层面全部符合要求的最高分值

Rlayer: QLa ×100% OLs

表2各层面标准分值及权重

表3总体防护体系层面脆弱性赋值标准

表4其它层面脆弱性赋值标准

）按照GB31509一一2015给出的风险计算方法，根据识别出的资产、威助和各层面胞弱性赋 计算和分析各层面的安全风险

8.4.3系统整体脆弱性评估与赋值

a） 如果附录A中任一基本项未得分，则系统整体脆弱性赋值为“很高”，否则按以下b）～c） 行评估与赋值 b） 利用8.4.2c）计算出的系统各层面得分率，按照公式（3）计算系统的整体得分率：

Rsystem=l (Rli x Wi)

式中： Rsystem 系统整体得分率： Rli 系统在安全管理制度、安全管理机构、人员安全管理、信息系统安全管理、安全工作 机制、总体防护体系、物理安全、边界安全、网络安全、应用安全、数据安全、主机 安全、终端安全等13个层面的得分率； Wi一一为各层面的权重（见表2“权重”列）。 c）对照表5给出系统的整体脆弱性赋值和安全性评价

表5系统整体脆弱性赋值和评价标准

Q/GDW15962015

O/GDW15962015

管理脆弱性评估（200分

A.1.1安全管理制度脆弱性评估（15分）

附录A （规范性附录） 公司信息系统脆弱性评估表

表A.1安全管理制度脆弱性评估

A.1.2安全管理机构脆弱性评估（15分）

表A.2安全管理机构脆弱性评估

Q/GDW15962015

Q/GDW15962015

A.1.5安全工作机制脆弱性评估（50分）

A.1.5安全工作机制脆弱性评估（50分）

表A.5安全工作机制脆弱性评估

Q/GDW15962015

Q/GDW15962015

A.2技术脆弱性评估（250分）

A.2.1总体防护体系脆弱性（30分）

表A.6总体防护体系脆弱性评估

GA/T 2000.148-2015 公安信息代码 第148部分：网上督察问题分类与代码A.7物理安全脆弱性评估

A.2.3边界安全脆弱性评估（25分）

表A.8边界安全脆弱性评估

A.2.4网络安全脆弱性评估（25分）

表A.9网络安全脆弱性评估

JR/T 0025.13-2018 中国金融集成电路（IC）卡规范 第13部分：基于借记贷记应用的小额支付规范A.2.5应用安全脆弱性评估（50分）

表A.10应用安全脆弱性评估

表A.11数据安全脆弱性评估